Este documento ofrece una introducción a la informática forense. Define la informática forense como la aplicación de técnicas científicas y analíticas especializadas a la infraestructura tecnológica para identificar, preservar, analizar y presentar datos válidos dentro de un proceso legal. Explica los conceptos básicos, la metodología de adquisición, autenticación y análisis de datos sin modificarlos, y menciona algunas herramientas comunes como FTK y EnCase para el análisis de discos duro

1. InformáticaForense José Hernández h2jose@gmail.com @0800jose

2. InformáticaForense ConceptosBásicos Definición MetodologíaBásica Análisis de la comunicación de datos Herramientas Ventajas de Linux comoherramienta de análisisforense

3. ConceptosBasicos Si hay un forenseesquehubo o hay sospecha de un crimen

4. El CrimenInformático Crimen Informático en sentido estricto Crimen Informático en sentido amplio Cualquier comportamiento ilegal cometido con un sistema informático o una red, incluyendo crímenes como la posesión ilegal, la oferta y la distribución de información Cualquier comportamiento ilegal, dirigido por medio de operaciones electrónicas que tengan como objetivo la seguridad de sistemas informáticos y de los datos que procesan

5. InformáticaForense DEFINICION Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal Hubo un crimen…

6. Objetivos de la InformáticaForense Reconstruir el bien informático Examinar datos residuales Autenticar datos

7. Alcance de la InformáticaForense Extracción Conservación Identificación Documentación Interpretación Presentación de las evidencias digitales

8. MetodologíaBásica Adquirir las evidencias Comprobar (Autenticar) las evidencias Analizar los datos sin modificarlos

9. MetodologíaBásica 1. Adquirir las evidencias Sin alterar ni dañar el original. Detenerlo y examinar una copia de los datos originales: No se puede examinar un sistema presuntamente comprometido utilizando las herramientas que se encuentran en dicho sistema pues estas pueden estar afectadas. La Cadena de Custodia documenta el proceso completo de las evidencias durante la vida del caso: Quién la recogió y donde, quien y como la almacenó, quién la procesó… etc. Cada evidencia deberá ser identificada y etiquetada a ser posible en presencia de testigos, con el número del caso, una breve descripción, la firma y la fecha en que fue recogida

10. MetodologíaBásica 2. Comprobar (Autenticar) Se debe Comprobar (Autenticar) que las evidencias recogidas y que van a ser la base de la investigación son idénticas a las abandonadas por el delincuente en la escena del crimen. Data corrupta, generá conclusiones corruptas.

11. MetodologíaBásica 3. Analizar los datos sin modificarlos. Es crucial proteger las evidencias físicas originales trabajando con copias idénticas de forma que en caso de error se pueda recuperar la imagen original y continuar con el análisis de forma correcta. Copias deben ser clones realizados bit a bit del dispositivo original Control de integridad de la copia antes de comenzar el análisis

12. Evidencia Digital VsEvidenciaFísica Pueden ser duplicadas de forma exacta, pudiendo examinarse la copia como si fuera el original. Con herramientas adecuadas es fácil determinar si la evidencia ha sido modificada o falsificada. Es relativamente difícil destruir una evidencia digital. Incluso borrándola puede ser recuperada del disco.

13. Análisis de la comunicación de datos Intrusión en una red de computadoras o mal uso de la misma. Interceptación de datos.

14. Análisis de la comunicación de datos Intrusión en una red de computadoras o mal uso de la misma. a) Detección de la intrusión. b) Detectar la evidencia, capturarla y preservarla; y c) Reconstrucción de la actividad específica o del hecho en sí.

15. Análisis de la comunicación de datos Intrusión en una red de computadoras o mal uso de la misma. Identificar y aislar un comportamiento potencialmente ilegal. Este comportamiento incluye el acceso no autorizado, modificación del sistema en forma remota y el monitoreo no autorizado de paquetes de datos.

16. Análisis de la comunicación de datos Antes de realizar un análisis se debe tener en cuenta la siguiente información a) sistema operativo afectado. b) inventario de software instalado en el equipo c) tipo de hardware del equipo d) accesorios y/o periféricos conectados al equipo e) si posee firewall f) si esta en el ámbito del DMZ (Zona desmilitarizada) g) conexión a internet h) configuración i) parches y/o actualizaciones de software j) políticas de seguridad implementadas k) forma de almacenamiento de la información (cifrada o no) l) personas con permisos de acceso al equipo m) el pc esta dentro del DMZ n) existe IDS o) cuantos equipos en red

18. Análisis de discos duros

19. Análisis de correoelectrónico

21. Herramientas Análisis de discos duros AccessData Forensic ToolKit (FTK) Guidance Software EnCase Análisis de disco duro Paraben Análisis de usb USBdeview

22. Ventajas de linux en el análisisforense Linux es un entorno ideal en el cual realizar tareas de análisis forense pues está dotado de gran variedad de herramientas que facilitan todas las etapas que se deben llevar a cabo en la realización de un análisis exhaustivo de un sistema comprometido.

23. Ventajas de linux en el análisisforense Captura de todo los tecleado en el sistema: # script –a fichero Transferir vía red la información del servidor afectado a otro sistema en el cual realizar el análisis: # nc –l –p puerto > fichero de salida Captura de pantalla con x-view: # xwd –display direccionIP:0 –root > pantalla.xwd

24. Ventajas de linux en el análisisforense Captura de la memoria: # strings /dev/mem | more Análisis conexión de red: # netstat –pan | more Copia de disco duro y sistema de arhivo: # ddif=/dev/zero of=/dev/fd0

25. No hay crimenimpune La desconfianza es madre de la seguridad. (Aristófanes)

26. Muchas Gracias Preguntas ??